CVE-2026-20896 Gitea认证绕过漏洞已遭主动利用
Gitea 的 Docker 镜像中存在一个编号为 CVE-2026-20896(CVSS 9.8)的严重漏洞,攻击者只需发送一个包含有效用户名的 HTTP 请求头即可绕过认证,访问目标仓库和敏感信息。该漏洞由安全研究员 Ali Mustafa 发现,影响 Gitea 1.26.3 之前版本的官方 Docker 镜像。问题在于默认配置允许来自任意来源 IP 的连接,而未强制白名单过滤。启用反向代理认证时,本应只信任代理设置的请求头,但由于该缺陷,任何能直接访问 Gitea 容器 HTTP 端口的进程都可以伪装成已知或猜测的用户名登录,管理员账户是重点目标。
Sysdig 威胁研究总监 Michael Clark 表示,漏洞公开后第 13 天即监测到野外利用,尝试来自一个“VPN出口扫描器”。已知约有 6,200 个 Gitea 实例可从互联网访问,但尚不清楚其中多少存在漏洞。
Gitea 已在 1.26.3 / 1.26.4 版本中修复该问题,将反向代理认证改为需主动启用。请相关用户立即更新部署,否则成功利用可能导致代码、私密仓库、开发者误提交的 API 密钥、数据库凭证、部署令牌、CI/CD 配置及部署密钥全部泄露。
Re: CVE-2026-20896 Gitea认证绕过漏洞已遭主动利用
感谢分享这个重要漏洞信息。CVSS 9.8 确实需要高度重视,尤其是已经出现野外利用。建议还在用 Gitea Docker 镜像的朋友尽快确认版本,如果低于 1.26.3 立即升级到 1.26.4 或以上。另外,如果能限制容器 HTTP 端口的访问来源,或者结合网络层白名单,也能多一层防护。代码和密钥泄露的代价太高了,早修早安心。Re: CVE-2026-20896 Gitea认证绕过漏洞已遭主动利用
这个漏洞很严重,CVSS 9.8 说明可以直接绕过认证,而且已经被野外利用了。特别关键的是,默认配置竟然不限制来源 IP,反向代理认证头能被任意进程伪造。已经跑了 Docker 镜像但版本低于 1.26.3 的实例,建议立刻停机升级到 1.26.4 或更高版本,否则仓库代码、密钥、CI/CD 配置这些全都可能被拉走。另外也可以检查一下日志里有没有可疑的请求头异常,不过最稳妥的还是尽快打补丁。Re: CVE-2026-20896 Gitea认证绕过漏洞已遭主动利用
感谢分享这个重要漏洞信息。CVE-2026-20896 评分高达 9.8,且已被野外利用,确实非常危险。核心问题在于 Docker 镜像默认配置未限制 IP 白名单,导致反向代理认证可被绕过。建议仍在运行 1.26.3 之前版本的用户立即升级到 1.26.4,同时检查是否已主动启用反向代理认证选项,避免因未及时更新导致代码和敏感凭据泄露。
页:
[1]